本文是基于Microsoft TechNet库中的一篇文章,并在此介绍,以使Microsoft以外的人对此主题感兴趣并了解更多知识。原始文章存在于TechNet作为 管理信任  (http://technet.microsoft.com/en-us/library/bb727050.aspx)。
仅适用于Windows 2000 - 尚未涵盖Windows Server 2003林信任(如果您更新文章以涵盖以后的版本,请删除此笔记)。

概观

信托需要很少的管理。域之间的信任关系建立可信通信路径,一个域中的计算机可以通过该路径与另一个域中的计算机进行通信。信任关系允许受信任域中的用户访问信任域中的资源。

例如,存在单向信任的地方:

  • 可以对登录到受信任域的用户进行身份验证,以连接到信任域中的资源服务器。

  • 用户可以使用受信任域中的帐户从信任域中的计算机登录到受信任的域。

  • 信任域中的用户可以列出受信任的域安全主体,并将其添加到组和访问控制列表(ACL)中的信任域中的资源。

信托基本准则

在现有Windows 2000林中创建Windows 2000域时,将自动建立信任关系。这些信任关系是双向的和可传递的,不应该被删除。

但是,必须手动创建三种类型的信任:

  • 对外信托:

    • 信任Windows 2000域和Windows NT 4.0域之间。

    • 不同森林中的域之间的任何信任,无论这两个域是Windows 2000还是Windows 2000和其他Windows NT 4.0。

  • 快捷方式信任在同一个林中的两个域之间。

  • Windows 2000域和非Windows Kerberos领域之间的信任关系。有关Windows 2000域和非Windows Kerberos域之间的信任的更多信息,请参阅Web资源页面上的“Kerberos 5(krb5 1.0)互操作性分步指南”链接,网址为http://www.Microsoft.com / windows / reskits / webresources /

您可能还需要管理信任,原因如下:

  • 删除手动创建的信任。

  • 要配置安全标识符(SID)过滤以拒绝一个域,则为其他域提供凭据的权限。您可以为外部信任启用SID筛选,也就是信任不同林中的域之间,或Windows 2000和Windows NT 4.0域之间的信任。

信托管理任务和程序

表1.20显示了管理信任的任务和过程。

表1.20信托管理任务和流程

任务

程序

工具

频率

创建一个外部信任(在Windows 2000域和Windows NT 4.0域之间或不同林中的域之间)。

  • 创建单向信任(MMC方法)。

  • 创建单向信任(Netdom.exe方法)。

  • 创建双向信任(MMC方法)。

  • 创建双向信任(Netdom.exe方法)。

  • Active Directory域和信任(Windows 2000)-Or-

  • Netdom.exe

  • 域用户管理器(Windows NT 4.0)

如所须

创建快捷信任。

  • 创建单向信任(MMC方法)。

  • 创建单向信任(Netdom.exe方法)。

  • 创建双向信任(MMC方法)。

  • 创建双向信任(Netdom.exe方法)。

  • Active Directory域和信任 -

  • Netdom.exe

如所须

删除手动创建的信任。

  • 删除手动创建的信任。

  • Active Directory域和信任 -

  • Netdom.exe

如所须

防止未经授权的特权升级。

  • 配置SID过滤。

  • Netdom.exe

如所须

创建外部信任

当您要在不同林中的Windows 2000域之间或Windows 2000域和Windows NT 4.0域之间建立信任关系时,可创建外部信任。外部信任关系具有以下特点:

  • 这是单向的。必须在每个方向手动建立信任以创建双向的外部信任关系。

  • 这是非传递性的。

如果将Windows NT 4.0域升级到Windows 2000域,现有的信任关系将保持在相同的状态。

创建外部信任

当您要在不同林中的Windows 2000域之间或Windows 2000域和Windows NT 4.0域之间建立信任关系时,可创建外部信任。外部信任关系具有以下特点:

  • 这是单向的。必须在每个方向手动建立信任以创建双向的外部信任关系。

  • 这是非传递性的。

如果将Windows NT 4.0域升级到Windows 2000域,现有的信任关系将保持在相同的状态。

要求

  • 证书:域名管理员

  • 您可以在登录域时创建信任,也可以使用“运行方式”命令创建不同域的信任。

  • 工具:Active Directory域和信任或Netdom.exe(支持工具)。

创建外部信任的程序

您可以使用以下方法之一创建外部信任。程序在链接的主题中有详细的说明。

创建快捷信任

快捷信任关系是手动创建的信任,可缩短信任路径,提高远程登录用户的效率。信任路径是多个信任链,可以在域名空间中不相邻的域之间实现信任。例如,如果域A中的用户需要访问域C中的资源,则可以通过快捷信任关系创建从域A到域C的直接链路,绕过信任路径中的域B.

快捷信任关系具有以下特点:

  • 它可以在同一个森林中的任何两个域之间建立。

  • 必须在每个方向手动建立。

  • 是传递性的

要求

  • 证书:域名管理员

  • 工具:Active Directory域和信任

创建快捷信任程序

您可以使用以下方法之一创建快捷方式信任。程序在链接的主题中有详细的说明。

  1. 创建单向信任(MMC方法)

  2. 创建单向信任(Netdom.exe方法)

  3. 创建双向信任(MMC方法)

  4. 创建双向信任(Netdom.exe方法)

删除手动创建的信任

您可以删除手动创建的信任,但不能删除林中域之间的默认双向传递信任。如果您计划重新创建信任,请验证是否成功删除了信任。

要求

  • 证书:域名管理员。

  • 工具:Active Directory域和信任或Netdom.exe。

删除手动创建的信任的过程

您可以使用以下方法之一删除手动创建的信任。程序在链接的主题中有详细的说明。

  1. 使用Active Directory域和信任管理单元删除手动创建的信任

  2. 使用Netdom.exe删除手动创建的信任

防止未经授权的特权升级

Active Directory中的安全主体具有称为SIDHistory的属性,域管理员可以向其添加用户的旧SID。这在迁移过程中很有用,因为用户可以使用其旧的SID来访问资源,管理员不需要在大量资源上修改ACL。然而,在某些情况下,域管理员可以使用SIDHistory属性将SID与新用户帐户相关联,从而授予自己未经授权的权限。

您可以配置SID过滤以防止此类攻击。您可以在以下情况下配置SID过滤:

  • 您已经识别了企业中的一个或多个域,其中物理安全性较差,或域管理员信任度较差的域。

  • 然后通过将它们移动到其他森林来隔离这些不太值得信赖的域。根据定义,森林中的所有域必须是可信赖的; 如果一个域名被认为比森林中的其他域名信任度较低,则不应该是森林成员。一旦将较少值得信赖的域迁离森林,建立这些域的外部信任,并应用访问控制来保护资源。如果您仍然担心用于特权升级的SID欺骗,则应用SID筛选。

  • 不要对林中的域应用SID过滤,因为这会删除Active Directory复制所需的SID,并导致来自通过隔离域传递信任的域的用户的身份验证失败。

防止未经授权的特权升级的程序

使用以下过程配置SID过滤。程序在链接的主题中有详细的说明。

  1. 配置SID过滤

  2. 删除SID过滤